Существует огромное количество определений цифровой экспертизы и расследований. В этом разделе я приведу те определения, которые использую лично я, вместе с обоснованиями. Объектом цифрового расследования является некоторое цифровое устройство, задействованное в инциденте или преступлении. Цифровое устройство могло использоваться при совершении физического преступления, а могло и стать источником события, нарушившего правила или закон. Приведу пример первого случая: подозреваемый собирает в Интернете информацию для подготовки физического преступления. Среди примеров второго случая можно выделить получение несанкционированного доступа к компьютеру, загрузку незаконного материала по сети или отправку электронной почты с угрозами. После того как факт нарушения будет выявлен, начинается расследование. Оно должно ответить на такие вопросы: почему произошло нарушение, кто или что послужил причиной и т. д.

Цифровым расследованием называется процесс разработки и проверки гипотез, отвечающих на вопросы о цифровых событиях. Задача решается научным методом: эксперт строит гипотезы на основе найденных улик, а затем проверяет их поиском дополнительных улик, которые доказывали бы несостоятельность данной гипотезы. Цифровой уликой называется цифровой объект, содержащий надежную информацию, которая поддерживает или опровергает гипотезу.

Возьмем сервер, подвергшийся внешнему вторжению. Расследование начинается с определения ответа на вопрос: когда это произошло и кто это сделал. В процессе расследования обнаруживаются данные, которые были созданы событиями, связанными с инцидентом. Эксперт восстанавливает на сервере удаленные записи журнала, находит программы, задействованные в атаке, и многочисленные уязвимости, существующие на сервере. По этим и другим данными строится гипотеза относительно того, какая уязвимость была использована нападающим, и что он делал потом. Позднее эксперт анализирует конфигурацию брандмауэра (firewall) и журнала. По результатам анализа он определяет, что некоторые сценарии, сформулированные в гипотезах, невозможны, потому что сетевой трафик соответствующего типа не существовал, а в журнале не нашлось обязательных записей. Таким образом обнаруживаются улики, опровергающие одну или несколько гипотез.

В этой книге я использую термин «улика» в следственном контексте. Улики имеют как юридическое, так и следственное применение. Приведенное ранее определение относилось к следственному применению улик; далеко не всегда найденные улики могут быть предъявлены в суде. Поскольку требования к юридической допустимости улик зависят от страны или штата, а я не обладаю юридической подготовкой, я сосредоточу внимание на общей концепции улик, а вы можете внести поправки с учетом местного законодательства. В действительности никаких юридических требований, относящихся именно к файловым системам, не существует, поэтому необходимую информацию можно почерпнуть из общей литературы по цифровому расследованию.

Основы цифровых расследований | Криминалистический анализ файловых систем | Процесс анализа места цифрового преступления


Криминалистический анализ файловых систем



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс